limpando um servidor Ubuntu hackeado

Navegue suas respostas
1

Eles hackearam meu VPS e alteraram a senha do root. Felizmente, meu provedor o redefiniu para mim e agora eu tenho controle novamente.

Agora eu gostaria de ter certeza de que eles não instalaram nenhum material ou serviço (por exemplo, para explorá-lo para algum download / upload ilegal, etc.) que eu não conheça.

Existe alguma ferramenta ou prática para garantir que meu servidor esteja limpo? Eu gostaria de evitar reinstalá-lo do zero.

    
por lviggiani 30.05.2014 / 18:50

1 resposta

7

Não, e não é tão simples quanto reinstalar qualquer um deles.

Por suposto, gaste algum tempo imaginando qual era o ponto de entrada, mas essa instalação é lixo perigoso agora. Você tem que considerar as possibilidades:

  • Dados roubados : eles têm senhas para os serviços disponíveis agora (por exemplo, webapps)? Você provavelmente precisará redefinir uma tonelada de senhas e (importante) notificar as pessoas se você mantiver seus dados pessoais e / ou credenciais de login.

  • Acesso aos arquivos : Reinstalar e copiar arquivos não é suficiente. Você precisa ter certeza de que seus arquivos são seus arquivos. Um hack muito comum é injetar código em arquivos da web (para anunciar para o hacker e infectar visitantes por botnets). Você simplesmente não pode confiar nos dados do servidor. É por isso que usamos o controle de versão para o qual não deixamos o servidor de produção gravar, não é?

  • O que mais aconteceu? Adicionado usuários, grupos alterados, serviços adicionados, serviços tainted ( como" Operação Windigo "usa ) ... Você simplesmente não sabe o que aconteceu com este servidor. Você pode forense separá-lo, mas isso pode deixá-lo aberto para um ataque posterior e levará semanas.

Em suma, você precisa criar um novo servidor, você precisa restaurar cópias seguras de seus arquivos e quaisquer dados do banco de dados precisam ser inspecionados e verificados para ter certeza de que eles não caíram em rotas de acesso extras. Ah, e você precisa notificar os usuários e as pessoas em quem você tem dados.

Depois de ler seus comentários sobre a questão e sua experiência até o momento, pode valer a pena contratar alguém com experiência para configurar e cuidar da próxima evolução do servidor. Isso é tudo que você pode aprender, mas também é algo que você precisa manter também.

Uma abordagem de ignorar e esquecer dos servidores é extremamente perigosa.

    
por 30.05.2014 / 19:11

Tags

Qual é a diferença entre a data de modificação e a data de modificação do inode? canalizando uma senha localizada em um arquivo para o comando ssh [duplicado]